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Prufungsantrag gem. § 44 PatG ist gestellt ^ 

I Te e ine f m 0r ^ e,e ^° niSCheS ^enarchiv mit Erzwingung einer Zugriffskontrolle beim batenabruf 

(S) In einem sicheren Datenarchfv- und -austauschsystem 
naben sowohl der Dokurnenturheber als auch der Archiv- 
yerwalter Tresorumgebungeh. Der Tresor des Dokumen- 
turhebers chiffriert ein Dokument, bevor er es an den Tre- 
sor des Archivs sendet. Danach signiert der Tresor des Ar- 
chrvs das chiffnerte Dokument selber, bevor er das Doku- 
ment im elektronischen Archiv speichert, und sendet an 
den Tresor des Urhebers einen Beweis fur die Deponie- 
rung. Wenn erne Einsicht In das Dokument angefordert 
wird erfolgt diese Anforderung vom Tresor der anfor- 
dernden Partei an den Tresor des Archivs. Der Tresor des 
Archivs ruft eine Kopie des chiffrierten Dokuments ab die 
er zusammen mit der Identitat des Anfordernden an den 
Tresor des Urhebers sendet. Der Tresor des Urhebers ve- 
ritiziert die Authorisierung des Anfordernden, dechiffriert 
dann das Dokument und sendet das dechiffrierte Doku- 
ment direkt an den Tresor des Anfordernden 
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Beschreibung 

Gegenstand der Erfindung 

Die vorliegende Erfindung betrifft das Gebiet der elektro- 5 
nischen Datenspeicherung und liefert speziell ein sicheres 
Datenarchiv- und -austauschsystem, das von einer dritten 
Partei, die die Funktion eines Verwalters ausiibt, verwaitet 
wird, und in dem eine Zugriffskontrolle beim Abruf der Da- 
ten erzwungen wird. 10 

Hintergrund der Erfindung 

Neuere parallele Fortschritte in der Netzwerkkommuni- 
kation und der PKI-Technologie (public key infrastructure - 15 
Infrastruktur offentlicher Schliissel) haben bewirkt, daB Un- 
terriehmen und Institutionen beginnen, elektronische Doku- 
mentation zur Aurzeichnung und fur Transaktionen jegli- 
cher Art einzusetzen. Mit Verbesserungen bei der Integritat 
und Sicherheit der tJbertragung kann zuversichtlich davon 20 
ausgegangen werden, daB Dokumente, die eiektronisch iiber 
das Internet und andere offene Netzwerke gesendet werden, 
intakt und unverfalscht ankommen. 

Datenbankverwaltungssysteme, die mit modernen Com- 
puterspeichern mit einer Kapazitat von mehreren Gigabyte 25 
gekoppelt sind, haben es Unternehmen und Institutionen er- 
moglicht, auf die Aufbewahrung von Dokumenten in Pa- 
pierform zu verzichten, deren Masse Immobilienkosten ver- 
ursacht. 

Typischerweise mussen Daten, die von einer S telle stam- 30 
men, aus verschiedenen Griinden an eine andere ubertragen 
werden, z. B. zur Aufbewahrung, zur Priifung usw. Die Da- 
tenelemente konnten in Form unstrukturierter Dokumentda- 
teien oder strukturierter Datensatze vorliegen wie z. B. 
Konto- und andere Finanzinformationen. Im Beispiel un- 35 
strukturierter Daten kann es notwendig sein, ein Dokument 
zum Zweck der Priifung vom Ursprungssystem an andere 
Computer im gleichen System oder an Computer auf ande- 
ren Systemen zu schicken. Dies konnte gleichermaBen in ei- 
ner Geschaftssituation (z. B. einem Vorschlag fiir ein Joint 40 
, Venture oder einer komplexen Angebotsausschreibung) wie 
auch in einer Institution (z. B. wenn eine Dissertation von 
akademischen Beratern uberpriift wird, bevor sie einer Pru- 
fungskommission vorgelegt wird) vorkommen. Das Doku- 
ment ist eiektronisch erstellt worden, da auf diese Weise 45 
Oberarbeitungen und Einfugungen (speziell wenn sie um- 
fangreich sind) leicht eingearbeitet werden konnen, ohne 
daB jedesmal das gesamte Dokument neu getippt werden 
muB. 

Wenn das Dokument in elektronischer Form vorliegt, 50 
kann es auch leichter uberpriift werden, weil es in dieser 
Form leichter zu ubertragen ist. Anstatt das Dokument zu 
versenden, kann der Ersteller des Dokuments auch die vor- 
gesehenen Priifer wissen lassen, daB das Dokument zur Ver- 
fugung steht, und ihnen den Zugriff darauf ermoglichen. Um 55 
das Dokument zu uberprufen, muB den autorisierten Priifem 
der Zugriff auf den Speicherort des Dokuments gewahrt 
werden. 

Es gibt mehrere Griinde, warum der Ersteller des Doku- 
ments das Dokument nicht lokal speichern mochte. Wenn 60 
die lokale Speicherung des Dokuments bedeutet, daB hinter 
der Firewall anderen Stellen offener Zugriff gewahrt wird, 
besteht ein Sicherheitsrisiko (die Gefahr von Hackerangrif- 
fen). Der Zugriff auf den lokalen Speicher stellt auch eine 
Gefahr fur die Datenverwaltung dar, da eine einzige unbe- 65 
dachte Aktipn von einem Priifer die, Dokumentdatei loscht. 
Auch kann mangelnde Verfugbarkeit des Systems und/oder 
des Netzwerks mogliche Vorteile, die ein Priifer darin sieht, • 
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daB ihm direkter Zugriff auf das Dokument im Speictier ge- 
wahrt wird, zunichte machen. Die Systemverfugbarkeit gibt 
an, ob der lokale Computer oder das LAN des Urhebers des 
Dokuments jederzeit fur Priifer zuganglich ist, und die Netz- 
werkverfugbarkeit bezeichnet die Einschrankung, daB es fur 
das Netzwerk schwierig sein kann, mehrere Punkte dem lo- 
kalen Speicherort zur Verfugung zu stellen, wenn mehrere 
Priifer gleichzeitig zugreifen wollen. 

In einer Geschafts- oder Institutionssituation konnte es 
auch Griinde dafur geben, daB eine unabhangige Verifizie- 
rung notwendig ist, um nachzuweisen, daB ein Urheber ei- 
nes Dokuments dieses an einem bestimmten Datum vorge- 
legt hat (z. B. ein kommerzielles Angebot). 

Eine Losung besteht darin, das Archiv einer dritten Partei 
zu nutzen, und zwar speziell einer Partei, deren Zweck es ist, 
den Dienst einer sicheren Datenarchivierung anzubieten, 
und die bei Bedarf einen Deponierungsbeweis erbringen 
kann. 

In den US-Patentschriften Nr. 5,615,268 und 5,748,738, 
beide mit dem Utel "System and Method for Electronic 
Transmission Storage and Retrieval of Authenticated Docu- 
ments" und beide der Document Authentication Systems, 
Inc. ubertragen, wird ein System beschrieben, das Datenin- 
tegritat und Deponierungsbeweis mit Hilfe eines Windows- 
Client zur Kommunikation mit den Datenspeicherdateien 
anbietet. 

Eine wichtige Uberlegung, die in diesen Patentschriften 
nicht angesprochen wird, ist, daB die Integritat der im Ar- 
chiv gespeicherten Daten und der Zugriff auf diese Daten 
nicht von den Aktionen der dritten Partei, die das Doku- 
mentarchiv verwaitet, abhangig sein darf . Anders ausge- 
driickt, der Datenverwalter darf nicht in der Lage sein, unab- 
sichtlich oder boswillig den Inhalt der Daten zu verandem, 
ohne daB dies von den Systembenutzern bemerkt wird. Au- 
Berdem darf es dem Datenverwalter nicht moglich sein, das 
Zugriffsrecht oder die Verweigerung des Zugriffsrechts ei- 
nes Benutzers auf ein Datenelement zu andern. 

In dem genannten System der US-Patentschriften 5, 
615,268 und 5,748,738 wird darauf vertraut, daB der Daten- 
archivservice die Daten nicht fur andere Benutzer einsehbar 
macht. In diesem System gibt es keine Vorkehrungen, die 
die Vertraulichkeit der Daten mit Hilfe der \ferschliissel- 
ungstechnologie gewahrleistet. 

Kurzbeschreibung der Erfindung 

Es ist deshalb eine Aufgabe der vorliegenden Erfindung, 
ein System zur elektronischen Speicherung und zum elek- 
tronischen Austausch von Dokumenten zur Verfugung zu 
stellen, in dem die Dokumente physisch in einem von einer 
dritten Partei verwalteten Archiv gespeichert werden, in 
dem die Benutzer aber auf ihre Dokumente zugreifen und 
sie mit anderen gemeinsam benutzen konnen. 

Eine weitere Aufgabe der Erfindung besteht darin, ein Sy- 
stem zur Verfugung zu stellen, in dem die Integritat der im 
Archiv gespeicherten Daten und der Zugriff darauf nicht 
von den Aktionen der dritten Partei, die das Archiv verwai- 
tet, abhangig ist. 

In einem Aspekt hat die vorliegende Erfindung also ein si- 
cheres elektronisches Datenspeicherungs- und -abrufsystem 
zum Ziel, das aus einem Datenarchiv, einem Datenarchiv- 
Verwalter, der Speicherung und Abruf verschliisselter elek- 
tronischer Daten eines das Dokument deponierenden Com- 
puters in das und aus dem Archiv verwaitet, und einem 
Agentenprogramm des zur Speicherung verwendeten Com- 
puters besteht. Das Agentenprogramm ist fiir den Archiv- 
Verwalter immer zuganglich, unabhangig davon, ob der 
Computer online oder offline arbeitet. Das Agentenpro- 
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gramm besitztauch Mittel, um nach Aumentifizierung eines 

SSS^S^T ^ VerscU ^ten elektroSe" 
uaten des depomerenden Computers die auf A«fw>„ !T 
anfordernden Computer, aus dem DaSaSiv at^irX 

lef S r ±, CM&le K en elektroni schen Daten mit enS 
lenS.gnatur versehen, bevor sie im Datenarchiv ? «nlh^ 

Werd ! n ^ nd d " nn eine K °P ie der mit dlfflSSKE? 
nen chiffiierten Daten an das Agentenp^aSn^endeT so 

einem Datenarchiv eesDeich^rt rinH ^ . n ' die in 
1 7 - v ©espeicnert smd, das von einem Arrhiv 



rechten auf gespeicherte Dokumente. 

AusfuhrUche Beschreibung der bevorzugten Ausfuhrungs- 
. formen 

svsS t D H eDti0neIle , A««h»mg fur ein Dokumentarchiv- 

kannbeispiekweSSen 1r V?" Dokum »ts 
Hip T -«.« tT u • resUe « en ' daB ein Geschaftspartner 106 

fcJE2SS2a h 5 t i b - J*- d - Dokumem 

104 abrufen, SEg££?& Dokum «vdienst 
BWu'tz^^ffsbeTch^^ CU,e ^^ntoU-Liste der lJ b lS C 5^I n ^Sl? len SyStemen ist *■ vom Urne - 
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Ouelle ist fiirX au r • S zugeordnet wird. Die 

•to. wild aucb jedem Benutzercomputer, 
rung vorgenommen hat, zur Verfugung giteS AktUahs ^ 
d JJlT Q ^ Ue bevor die Daten fllr den anfor 

S L T^°H mpUt - r f eigibt ' ° b * ^ahsierte Zu^S: 

T\:~ xr « • • 



Weise eine Duplikation der Information vermTeden wiH 
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SrJ n^ Party Entity Authentication and Key 
_ Die Erfindung kann in Form von n a ^„._ J; _ mehr Kommunikadonspartern SS^^J??.??* 



. w^^cn.wu ^uuiaiien, z. 13. d 

utat des ^okumenturhebers usw 
Die Erfindung kann in Form von Datentragern die mit 



Kurzbeschreibung der ^eichnungen 

Fig. 1 ist eine Schemazeiehniing von einem D6ln„™ni,. 
ng. 2 ist eine Schemazeiehniing, Shnijcb wie Flo i ;„ 



fcnnneo, nnohdem die Kommnnikalionspartno du^HCS 
•enmnenswllndigen Veimioler ^Lt ^taS 

dies Konzept geeignet ware, DechiffnerschlOsinn ein em 
Dokumentreviaonssystem mit einem dauerhaften D ok,? 
so ESS" ^ ZWiSChCn Kommunikations^e^t 

ni «S v°r^ nti0neIlen S y stem en, in denen Dokumente fur ei 

S SL WBrdeD Wd nicht chiff ri«rt sTnd S»S r n 

muB darauf vertraut werden, daB die dritte Partei aStJ- 

ss btS:" 51 * ^-gSt^Xkten" 

nJUS Dok i ,mentarc Wvsystem in der bevorzugten Ausfuh 
£8?5 ^ r° rlie S enden Erfin dung ist mit dem £££ 

mentiert n;^^ o ; ^ der Khentenumgebung imple- 
menuert. Dieses System vertraut auf die im ffintergrund der 
Erfindung beschnebene modeme ObertrngungstecSogt 
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genden Erfindung kcinnte es sich dabei auch urn ACL- und 
FahigkeitsUsten-AktuaHsierungen faandeln. Wenn dies ge- 
schieht stimmen die auf den Benutzerarbeitsplatzen gespei- 
cherten Venfizierungstokens moglicherweise nicht mehr mit 
den Tokens in den entsprechenden Ttesoren Uberein, so daB 5 
die Benutzer keinen Zugriff mehr haben. 

Deshalb wurde als Standard fur die Datenwiederherstel- 
lung m verschiedenen Situationen das folgende System im- 
plemendert. Es wird angenornmen, daB die Sicherung zum 
Zeitpunkt ZEm erfolgte, wahrend die Ruckspeicherung zu 10 
einem spateren Zeitpunkt ZETT2 mit dem Stand der Daten 
zum Zeitpunkt ZEIT1 stattfand, an dem der Anfordernde 
das Dokument abgerufen hat. 

Wenn eine vollstandige Ruckspeicherung der Dokument- 
datenbank, der ACLs, der Fahigkeitslisten und der entspre- 15 
cnenden in den Tre oren gespeicherten Tokens diirchgefuhrt 
wird, konnen die Benutzer, die vorZETTl auf ein Dokument 
zugreifen konnten, dies auch nach ZEIT2 tun. Dies bedeutet 
daS wenn em Benutzer vor ZEIT1 berechtigt war, die Be- 
rechtigung aber zwischen ZETT1 und ZEIT2 widerrufen 20 
wurde, dieser Benutzer dennoch auf das Dokument zugrei- 
fen kann, bis der Urheber des Dokuments das ACL-Token 
pruft. Nach einer vollstandigen Datenriickspeicherung soil- 
ten deshalb alle Benutzer eine Pruning der ACL und der Fa- 
higkeitsliste durchfuhren. 25 

Wenn nur die Dokumentdatenbank zuriickgespeichert 
wurde und die ACLs, die Fahigkeitslisten und die in den 
Tresoren gespeicherten Tokens unberiihrt geblieben sind 
konnen Benutzer feststellen, daB sie das Zugriffsrecht fu^ 
em Dokument besitzen, das gar nicht in der Datenbank ge- 30 
speichert ist, da das Dokument nach ZETT1- hinzugefugt 
wurde, aber nachher bei der Ruckspeicherung der Daten- 
bank verloren gegangen ist. Da alle Tokens aktuell sind, gibt 
es keine weiteren Anomalien. 

rJ!?\ ^ de . rer FaU liegt vor, wenn in einem System keine 35 
fahigkeitslisten benutzt werden, die ACLs aber in der An- 
wendungsdatenbank gespeichert werden. Wenn die Doku- 
mentdatenbank und die ACL zuriickgespeichert worden 
sind, wahrend die in den Tresoren gespeicherten Tokens 
nicht zuriickgespeichert wurden, stellen die Benutzer fest 40 
daB alle Dokumente, deren ACL nach ZEIT1 geandert wur- 
T% D i mehr zu S 5n g lich sind. Dies kommt daher, daB die 
ACL-Tokens in der Anwendungsdatenbank nicht mit den in 
den Tresoren der einzelnen Eigner gespeicherten Tokens 
ubereinstimmen. Urn dieses Problem zu losen, mussen alle 45 
Dokumenturheber die ACLs aktualisieren. Eine Moglich- 
^tc^u ist, daB der Verwalter die alten ACLs (die zu 
1 in Kraft waren), den Dokumenturhebem sendet und 
sie bittet, die entsprechenden Tokens in ihren Tresoren neu 
zu instalheren. Diese Aktualisierung wird manuell, nicht au- 50 
tomatisch, vorgenommen, und die Dokumente eines Eigners 
smd unzuganglich, bis er die Aktualisierung durchgefuhrt 

In Situationen, in denen Datenbankinkonsistenzen ver- 
mieden werden mussen, kann der Archivverwalter nach ei- 55 
ner Ruckspeicherung den ZugrifF auf alle Dokumente sper- 
ren, bis der Urheber FehlerbehebungsmaBnahmen ergriffen 
hat. Diese Sperre kann fur alle Dokumente im Archiv gelten 
Oder nur fur einen Teil der Dokumente, bei denen die Konsi- 
stenz am kritischsten ist. In diesem Fall muB man sich auf 60 
den Archivverwalter verlassen, urn die Konsistenz des Sy- 
stems zu wahren. Wie bereits erwahnt hat der Verwalter aber 
in keinem Fall die Moglichkeit, Benutzerzugriffsrechte auf 
em Dokument zu erteilen oder zu widerrufen. 

Urn die Moglichkeit einer konzertierten Attacke auf das 65 
System zu mmimieren, ist es wichtig, daB die Rollen zwi- 
schen dem Verwalter des Tresorservers und des betreffenden 
lokalen Tresorspeichers einerseits und dem Datenbankver- 
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waiter andererseits getrennt sind. 

In der obigen Beschreibung wurden bevorzugte Ausfuh- 
rungsformen der vorUegenden Erfindung mittels des Pro- 
dukts IBM Vault Registry beschrieben. Dem Fachmann ist 
<&er klar, daB die vorUegende Erfindung auch mit anderen 
Produkten, die uber ahnUche Funktionen verfugen, imple- 
rnentiert werden konnte, z, B. mit sicheren tresorahnhchen 
Umgebungen, die sich lokal auf dem Arbeitsplatz der ein- 
zelnen Benutzer befinden. Solche und andere Abwandlun- 
gen, die fur den Fachmann offensichtlich sind, sollen eben- 
falkn Unter ^ Schut2umfan S der beigefugten Anspriiche 

Patentanspriiche 

1 . Ein sicheres elektronisches Datenspeicherungs- und 
-abrufsystem, umfassend: 
ein Datenarchiv; 

einen Archivverwalter zur Verwaltung der Speicherung 
und des Abrufs von chiffrierten elektronischen Daten 
eines deponierenden Computers in dem und aus dem 
Datenarchiv; 

ein Agentenprogramm des deponierenden Computers 
auf das der Archivverwalter zugreifen kann, unabhan-' 
gig davon, ob der deponierende Computer online oder 
offline arbeitet, und das Mittel besitzt, urn nach Au- 
thentifizierung des anfordemden Computers die chif- 
frierten elektronischen Daten des deponierenden Com- 
puters, die auf Anforderung des anfordemden Compu- 
ters aus dem Datenarchiv abgerufen werden, zu dechif- 
fneren. 

2. Das System nach Anspruch 1, wobei der Archivver- 
walter auBerdem daran angepaBt ist, die chiffrierten 
elektronischen Daten vor der Speicherung im Datenar- 
chiv mit einer digitalen Signatur zu versehen und eine 
Kopie der signierten chiffrierten Daten an das Agen- 
tenprogramm des deponierenden Computers zu sen- 
den, und wobei das Agentenprogramm des deponieren- 
den Computers daran angepaBt ist, anhand der signier- 
ten chiffrierten Daten die abgerufenen chiffrierten Da- 
ten nach derDechiffrierung zu verifizieren. 

3. Das System nach Anspruch 1 oder 2, wobei das 
Agentenprogramm auBerdem daran angepaBt ist, die 
dechiffrierten elektronischen Daten an den anfordem- 
den Computer zu senden. 

4. Das System nach Anspruch 3, wobei das Agenten- 
programm eine sichere Erweiterung des deponierenden 
Computers ist und daran angepaBt ist, die Kommunika- 
tion zwischen dem deponierenden Computer und dem 
Archivverwalter zu verwalten. 

5. Das System nach Anspruch 4, das auBerdem einen 
Server umfaBt, der Kommunikationsverbindungen mit 
dem Archivverwalter, den deponierenden Computer 
und dem anfordemden Computer besitzt, und der fol- 
gendes enthalt: 

das Agentenprogramm des deponierenden Computers- 
eine zweite Umgebung, die eine sichere Erweiterung 
des Archivverwalters umfaBt, und die daran angepaBt 
ist, Ubertragungen von und zu anderen Umgebungen 
auf dem Server mit dem Archivverwalter zu verwalten* 
und 

mindestens eine dritte Umgebung, die eine sichere Er- 
weiterung des anfordemden Computers umfaBt, und 
die daran angepaBt ist, Obertragungen von und zu an- 
deren Umgebungen auf dem Server mit dem anfordem- 
den Computer zu verwalten. 

6. Das System nach Anspruch 4 oder 5, wobei das 
Agentenprogramm des deponierenden Computers Mit- 
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tel zum Chifrrieren und digitalen Signieren der vom de- 
ponierenden Computer empfangenen elektronischen 
Daten und zum senden der chifFrierten elektronischen 
Daten und der Signatur an deh Archiwerw alter zur 
Speicherung im Datenarcbiv umfaBt. 5 

7. Ein ProzeB zur sicheren Authentifizierung des Be- 
nutzerzu griffs auf elektronische Daten, die in einem 
von einem Archiwerwalter, der nichts mit einer Quelle 
der elektronischen Daten zu tun hat, verwalteten Ar- 
chiy gespeichert sind, umfassend: 10 
Zuordnen einer ZugrifFskontroll-Liste der Benutzerbe- 
rechtigungen fur die elektronischen Daten bei Speiche- 
rung im Datenarchiv; 

Durchfuhrung von Aktualisierungen der Zugriffskon- 
troll-Liste von der Quelle der elektronischen Daten 15 
aus; 

Speichern der aktualisierten Zugriffskontroll-Liste mit 
den im Datenarchiv gespeicherten elektronischen Da- 
ten; 

Speichern eines Beweises der aktualisierten Zugriffs- 20 
kontroll-Liste an der Quelle der elektronischen Daten 
und auf jedem Benutzercomputer, der die Aktualisie- 
rung durchgefuhrt hat; und 

Verifizieren der Richtigkeit der mit den elektronischen 
Daten im Datenarchiv gespeicherten ZugrifTskontroll- 25 
Liste mit einem an der Quelle gespeicherten Beweis, 
bevor die elektronischen Daten fur einen anfordemden 
autorisierten Benutzer freigegeben werden. 

8. Der ProzeB nach Anspruch 7, wobei der Schritt der 
Durchfuhrung von Aktualisierungen an der ZugrifFs- 30 
kontroll-Liste folgendes umfaBt: 

Identifizieren einer Revisionsstufe der aktualisierten 
ZugrifFskontroll-Liste; und 

Zuordnen eines aktuellen Zeitstempels zu der aktuali- 
sierten ZugrifFskontroll-Liste, 35 
und wobei der Schritt der Beweisspeichening folgen- 
des umfaBt: 

Erstellen eines Tokens der Revisionsstufe und des ak- 
tuellen Zeitstempels; und 

Speichern des Tokens bei jedem Benutzer mit ZugrifFs- 40 
recht auf die elektronischen Daten im Datenarchiv. 

9. Der ProzeB nach Anspruch 8, auBerdem umfassend: 
Anhangen des Tokens an die aktualisierte ZugrifFskon- 
troll-Liste, um eine Datenstruktur zu bilden; 

digitale Signierung der Datenstruktur, und 45 
Speichern der signierten Datenstruktur mit der aktuel- 
len ZugrifFskontroll-Liste im Datenarchiv und an der 
Quelle, und wobei der Schritt der Verifizierung der 
Richtigkeit der aktualisierte ZugrifFskontroll-Liste fol- 
gendes umfaBt: 50 
Verifizieren der Dechiffrierung der Datenstruktursigna- 
tur an der Quelle; und 

Vergleichen der verifizierten Datenstruktur mit der aus 
dem Datenarchiv abgerufenen aktualisierten ZugrifFs- 
kontroll-Liste. 55 

10. Der ProzeB nach Anspruch 8, wobei der Schritt der 
Beweisspeichening auBerdem folgendes umfaBt: 
digitale Signierung des Tokens; und 

Speichern des signierten Tokens an der Quelle. 

11. Der ProzeB nach Anspruch 10, auBerdem umfas- 60 
send: 

Senden des digital signierten Tokens an einen von der 
Quelle zur Aktualisierung der ZugrifFskontroll-Liste 
autorisierten Benutzers; und 

bei Vorlegen des digital signierten Tokens durch den 65 
zur Aktualisierung der ZugrifFskontroll-Liste berech- 
tigten Benutzer, 

Verifizierung der Tokensignatur an der Quelle; und 
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Vergleichen des verifizierten Tokens mit der Revisions- 
stufe und dem aktuellen ZeitstempeL, die der aus dem 
Datenarchiv abgerufenen aktualisierten ZugrifFskon- 
troll-Liste zugeordnet sind. 

12. Ein Verfahfen zum sicheren Speichern und Abru- 
fen elektronischer Daten in einem fernen Datenarchiv, 
umfassend: 

digitales Signieren der elektronischen Daten an der 
Quelle; 

Chifrrieren der elektronischen Daten an der Quelle; 
Senden der chifFrierten elektronischen Daten an das 
Datenarchiv; 

digitales Signieren der chifFrierten elektronischen Da- 
ten im Datenarchiv, um einen Deponierungsbeweis zu 
erzeugen; 

Speichern der chifFrierten elektronischen Daten und 
des Deponierungsbeweises im Datenarchiv; und 
Zuriicksenden einer Kopie des Deponierungsbeweises 
an die Quelle. 

13. Das Verfahren nach Anspruch 12, auBerdem um- 
fassend: 

Empfangen einer ZugrifFanforderung auf die gespei- 
cherten elektronischen Daten von einem anfordemden 
Benutzer, 

Abrufen der chifFrierten elektronischen Daten und Sen- 
den der abgerufenen Daten an die Quelle; 
Verifizieren des anfordemden Benutzers als zum Zu- 
grifF auf die elektronischen Daten Berechtigen; und 
falls verifiziert, DechifFrieren der abgerufenen Daten. 

14. Das Verfahren nach Anspruch 13, auBerdem um- 
fassend: 

Zuordnen einer Zugriffskontroll-Liste der Benutzerbe- 
rechtigungen fur die elektronischen Daten bei Speiche- 
rung im Datenarchiv; 

Durchfuhrung von Aktualisierungen der ZugrifFskon- 
troll-Liste von der Quelle der elektronischen Daten 
aus; 

Speichern der aktualisierten ZugrifFskontroll-Liste mit 
den im Datenarchiv gespeicherten elektronischen Da- 
ten; und 

Speichern eines Beweises der aktualisierten ZugrifFs- 
kontroll-Liste an der Quelle und bei jedem Benutzer, 
der zum ZugrifF auf die elektronischen Daten im Ar- 
chiv berechtigt ist. 

15. Das Verfahren nach Anspruch 14, wobei der 
Schritt der Verifizierung des anfordemden Benutzers 
als Berechtigten das Auffinden des anfordemden Be- 
nutzers in der aktualisiertem . ZugrifFskontroll-Liste 
umfaBt 

16. Der ProzeB nach Anspruch 15, wobei dieser auBer- 
dem einen Schritt umfaBt, in dem die Richtigkeit der 
mit den elektronischen Daten im Datenarchiv gespei- 
cherten aktualisierten ZugrifFskontroll-Liste anhand 
des an der Quelle gespeicherten Beweises verifiziert 
wird, bevor die elektronischen Daten fur den anfor- 
demden Benutzer freigegeben werden. 

17. Ein computerlesbarer Speicher zum Speichern der 
Instruktionen zur Verwendung bei der Ausfuhrung ei- 
nes der Verfahren nach Anspruch 7 bis 16 auf einem 
Computer. 
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DOKUMENT MIT 0FFENTUCHEM 
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SIGNATUR AN TRESOR 
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506 
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TOKEN AN ACL ANHANGEN. UM ONE OATENSTRUKTUR ZU ERZEUGEN 



ACL, TOKEN UNO DATENSTRUKTURSIGNATUR ZUR SPBCHERUNG 1M ARCH/VAN 
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TOKEN ZUR SPBCHERUNG AUF DEM ARBBTSPLATZ AN 
TRESORE DES AUTORJS1ERTEN BENUTZERS SENDEN 
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DES DOKUMENTURHEBERS SENDEN 
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NEJN 
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ACLAKTUALISIEREN 



6H 
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1 


61 
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JO* 
■£■1 

M 
W< 

Mi 
M 



&AutogcnetalciJ HI ML Heltcop 



■fti 



31 



Secure Logon Demo Surface 

1) Paste DOCTORS prVate key here: 



Tw« applet Is only designed 10 explain (he basic architecture 

of the secure medical authentication system. 

» (s using real corYptograprac atgromftms. 

bulthe evironmert a buWJs uocn is comptetetr unsecure. 

Never renr on a tatnnoioay wnere you have to rtendle 



3 



e«GXT3U2BAgEBAOOiAED fJBMC6208QaC3BN9rWNU6O0 *~ 
D|OmQ5Nlrtu395P»aj2EfV2iRdaUiRj|3jEZ^a^PttzSOwjflV. 
5S80A32h2OpCOdma5MV9rRU0aAAA»D * 1 

U J jsT 

2) Paste PATENTS private key her re 



g^yCS7Lkai^BAd58Upr»BtsU£BL2oohTrw530m«5Q2IE<_ 1 J 

30EA4ICDOASCA/i[uKWCRRHXUNYur9eVAYJTRoAC2XF2vf 

JlEEN*dEJVDUhZ*QEaLE9uO0C0AWte=O 



IMP j 



doctor: «jtagge«ftgS3BS& 



CONFIRM AUTHENTICATION 



11 



J 



Cancel Auftianllcatjon J 



Debug Messages: 



bnRlbixHPrjjpTfcJl c»a lrac«01Q »cUBvtCH9ZC0T0EJro PU1 QL7<UYlBCZVtvllTO 
dgilepPsISBU eVPHRlbBSaTzl TOCiX2WI»01032CVcbvjtJj PWU AgO<c0StfBBBk 
VSbEBcaOcjUH) OTob VuOCKEOrAARAUBlfiaTx VQW^Q^f ,2cd/c Wa-MOtockZtR 
PITtir^sflHoXrViSiSJ^Lr^jttcTO^ 



^3 



U I .... 
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Zeichnung 3 - Zertifikatsverwaltung in einem Standard-Browser: 



>uSI 



Wcb-Sitcs 
Unterzwchner 



"33 CT>* VW»idU 0b»» 



Ihre Zertifikate 

Sicheriigitrinformrtionai 

tCgtmwftrtwr 

Navigator 

Messenger 

Java/JavaScript 



Ste kooncn >£ttc Zerofikjte bekcbig eattftzeo, um scb gegeaubrr snderen Becutzrra und 
Web-Sues ouavMBes Cmaa *^**-" "'"— »»» T -- 
-dcf an Sie gescoiklen Infcamalk I 



ffiPoiionliehos £ciuliko\ an 



Dies find Dirt ZerdfikatK 



Benjamin Bhjmchen s IP-Wat 
Esmeralda E stinger'* IP-Wa 
Hans Hinkebcine IP-Wab ID 



Karia Kahtmna'B IP-Web ID 
Maximilian Musi erm arm's IP-' 
Teeter TastP* IP-WebO 

11 

Wolfgang Roaners VenSign. 



Es crop £r hit etch, R(?pito dcr Ze 
nctteren On au&ubewahren. Bri 
vertchhtf seJts Nachndttea.ru ke 
eoderen Web-ShesProbtens m. 



TOs Certificate balonga to: Tbb Certificate was famed by! 
Joharm Jehnaedsi P-Wab Demo Orctora CA 

Gamearschaftapniria JVX dame 
Andemausan. bbb. da IP-Web 
darno, da 

Serial Humbert 3*8* EC 35 

Tnk Certificate hv valid from Sun Mar 1B, 2QSt (o Wed Mai 19, i 
Certlflcata Fingerprint: 

5E:9A:5F.-e9;C9:C0AEO1:2E:4A:77jV:a2^r2^O:33 . 



"TaOTaT 



OkJ Abbrachaiv | Hitfe | 
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